最新的帖子

应用安全相关工具

此页面是收集一些应用程序安全相关工具:
  • 应用程序安全/监控工具
  • 应用程序开发
  • 应用漏洞和测试
  • 视窗系统/ Appation Test软件
  • 安全意识
  • 安全评估方法
  • 数字法医调查工具
  • 标准开发和生产力工具
  • 自动化工具
  • 数据库相关

本博客中还有其他相关帖子:

Web应用程序速度测试


应用程序安全/监控工具

WAF.

安全工具
  • //www.hardenize.com/ - 检查您的网站'安全局势。
  • 静态和动态分析工具:强化,AppScan.
  • 渗透测试工具:Burp套件
  • 捕捉工具:OWASP FUZZ工具
  • d盾_web查杀:「d盾_防火墙」特有为iis设计的一击防御的保护软件,户外保护的方向网站和服务服务入侵,在正常行行各网站的情情下,越少的功能,服务功能,服务越安静的理想而而!限制了常见的入侵方法,让让器更安全!

监控工具
  • (tingyun.com) - 廷云是专业的使用性能平台。 Alexa排叫前100家企业有82家正在使腐云。

应用程序开发

  • SDLC.:SDLC.软件开发生命周期。它是开发和设计信息系统或软件的过程。与每个其他过程一样,SDLC具有各种方法来完成步骤。
    • 最古老的方式之一就是瀑布方法。瀑布的第一个已知用法于1956年由Herbert D.Benington讨论了关于数字计算机的先进编程方法研讨会。瀑布法面的主要比赛之一是敏捷方法。瀑布法通过概念,启动,分析,设计,施工,测试,生产/实施和维护之后的阶段进行,就像瀑布的运动一样。团队无法继续前进到前一阶段完成。关于这种方法的积极的事情,即使它是耗时的,那就是如果在早期发现错误,它稍后会节省大量的时间和金钱。例如,如果在概念或启动阶段中找到错误,那么它可以在进入设计阶段之前纠正,而不是在软件被设计时发现,然后必须完全划分。此方法需要每个阶段的密集文档,并以这种方式依赖于团队中的任何个人。如果需要更换团队的组成部分,新人可以明白项目目前的位置。
    • 敏捷方法另一方面是软件开发的迭代和渐进方法。以这种形式的SDLC小模块的最终产品被释放为
      用户审查然后相应地更改。根据名称,此环境非常灵活,可以根据情况进行更改。这里不同的开发人员同时处理自己的任务,然后将其工作结合在一起。重点是提供工作软件而不是文档。由于它是迭代的,这意味着它适用于周期。在每次迭代期间发现新的东西,然后可以在下一个循环开始之前改进或修复。通信,而不是文档,使用,因此在敏捷环境中工作得更快。敏捷方法似乎最适合发展和非顺序项目;因此,它们在某些类型的项目中无效,并且由很多公司都没有认真对待。


SDLC.模型
优势
坏处
瀑布

简单易懂和使用
由于模型的刚性而易于管理。每个阶段都有特定的可交付成果和审查过程。
处理阶段并一次完成一个。
适用于较小的项目,其中要求很好地了解。
明确定义的阶段。
很好地了解里程碑。
易于安排任务。
流程和结果记录好。
在生命周期期间直到晚期没有生产工作软件。
风险高的风险和不确定性。
不是复杂和面向对象的项目的良好模型。
长期和正在进行的项目模型不佳。
不适合要求要求适度到更高的变化风险。因此,此过程模型,风险和不确定性很高。
难以衡量阶段的进展。
无法适应更改的要求。
在生命周期期间调整范围可以结束一个项目。
整合完成了"大爆炸。在最终,这一点'T允许早期识别任何技术或企业瓶颈或挑战。
敏捷 是一种非常现实的软件开发方法。
促进团队合作和交叉培训。
功能可以快速开发和展示。
资源要求最低。
适用于固定或不断变化的要求
提供早期的部分工作解决方案。
稳步改变的环境的良好模型。
最小的规则,文档很容易受雇。
在整体计划的上下文中启用并发开发和交付。
很少或没有规划要求。
易于管理。
为开发人员提供灵活性。
不适合处理复杂的依赖项。
可持续性,可维护性和可扩展性的可能性更多。
整体计划,一个敏捷的领导和敏捷PM练习是必须没有它的不起作用。
严格的交付管理决定了要交付的范围,功能,并调整以满足截止日期。
依赖于客户互动,因此,如果客户不清楚,团队可以在错误的方向上驱动。
有一个非常高的个人依赖性,因为生成了最小文档。
向新团队成员转移技术可能是非常具有挑战性的缺乏文件。

  • 休息基于服务/体系结构vs宁静服务/架构
要区分或比较这2,您应该知道休息是什么。休息(代表国会转让)基本上是有一些原则的建筑方式......
  • 它应该是无国籍的
  • 它应该只使用URI访问服务器中的所有资源
  • 它没有内在的加密
  • 它没有会话
  • 它使用一个且只有一个协议是http
  • 对于执行CRUD操作,它应该使用HTTP动词,例如GET,POST,PUT和DELETE
  • 它应该仅以JSON或XML,原子,ODATA等形式返回结果(轻量级数据)
基于休息的服务遵循上述一些原则,而不是全部,而RESTES意味着它遵循以上所有原则。
  • 索纳里克
  • Veracode.
  • 强化SCA和Fortify Webinspect
  • IBM AppScan.

德沃斯

From: //www.youtube.com/watch?v=7LcFZNuZaVY
From: //www.youtube.com/watch?v=7LcFZNuZaVY



    使用工具的应用测试方法


    应用测试

    测试类型

    Web应用程序测试功能性和性能测试
    跨浏览器测试
    负载和压力测试
    回归和合规性测试
    用户验收测试
    Beta测试
    探索性和烟雾测试
    多语言支持和兼容性测试
    桌面应用测试UI测试
    可用性测试
    性能测试
    兼容性测试(软件/硬件)
    功能测试
    安全测试
    移动应用测试UI测试
    规则基于测试
    回归测试
    功能测试
    安全测试



    • 黑匣子测试:黑匣子测试技术通常用于测试功能测试,非功能性测试和回归测试。在黑匣子测试中,使用的策略是
      • 等价类测试
      • 边界值测试
      • 决策表测试
      • 国家过渡表
    • 白色盒子测试:白色框测试通常用于测试软件代码,以检查内部安全漏洞,结构不良或结构不佳的路径,条件循环的功能等。在白色框测试中,使用的策略是
      • 代码覆盖分析
      • 路径覆盖范围
    • 灰色盒子测试:此测试技术是黑匣子测试的组合以及白盒测试。它是根据基于不正确的结构或应用程序使用的缺陷进行的。
    • 静态应用安全测试(SAST) - 全球大型软件组织正在引人注目,旨在缩减CICD,敏捷和DevOps设置。 SAST解​​决方案拥有所有特征,可以混合在这些软件生命周期中。代码可以快速扫描,漏洞定位准确,不必重新扫描未缓解的代码。
    • 动态应用安全测试(DAST) - 虽然Dast Tools提供风险分析和协助修复努力,但开发人员并不真正知道漏洞所在的位置,而不是他们现在始终达到措施。 Dast方法报告在许多情况下令人满意。
    工具
    • IBM Rational Robot.
    • RFT(Rational功能测试仪)
    • Load Runner(HP性能测试仪)
    • Apache Jmeter.
    例子:
    安全指南针的一个良好做法:

    Web服务器扫描
    - 完整的TCP / UDP端口扫描
    - Web服务器扫描
    • 尼克托(www.cirt.net)
    • Spike Web Proxy(www.immunitiysec.com)
    • Stealth Scanner(www.nstalker.com)免费/商业
    - SSL版本(40/56/128位)
    - 管理员港口
    - 内部IP.
    - 内部港口
    - 内部服务器名称
    - 负载平衡器

    Web应用程序:网站上的背景信息
    - 识别使用的技术和应用架构
    - 镜子网站
    - 通过客户端代码筛选(查看评论和客户端代码)
    - 对网站进行身份验证并浏览该网站
    - 在网站上记录所有链接和页面

    Web应用程序:威胁分析
    Web应用程序:开始测试Web应用程序
    - 配置管理(Web服务器)
    - 备份文件(.bak / .inc / .gz / .zip)
    - AutehnTimication(数据/ cookie上的文件/ ACL上的ACL)
    - 会话/ cookie管理
    - 输入验证(XSS / SQL注入/字段溢出/字段下溢)
    - Hiddent标签/隐藏cookie变量/隐藏页面
    - 文件上传(上传的文件类型/位置)
    - 缓冲区溢出(ISAPI /模块)
    - 加密
    - 敏感数据

    Web应用程序:搜索引擎黑客
    - groups.google.com.
    - yahoo.com.
    - archive.org.

    验证
    授权
    会话管理
    用户管理
    加密,PII,关键数据
    数据验证
    数据处理
    错误& Exception
    事件日志记录




    应用程序漏洞


    视窗系统/ Appation Test软件

    • 沙盒,它允许您独立于系统的其余部分运行程序。他们可以'T感染,访问或以其他方式干扰您的Windows安装。它支持64位和Win8。
    • powershadow.既积极和保护又保护您屏蔽您的计算机系统生活的任何东西。 PowerShadow的安装就像种植一个称为阴影模式的惊人保护机制。它旨在为数百万病毒,间谍软件和特洛伊木马来辩护,他们很乐意侵入你的系统。


    安全意识教育

    • 安全教育平台 - 袋熊,(现在它是魔法象限的魔术象限的领导者,用于安全意识计算机的训练(CBT)。

    安全评估方法



    数字法医调查工具


    标准开发和生产力工具

    • 集成开发环境(IDE):
    • 版本控制系统:Git.
    • 缺陷/问题跟踪系统:贾拉

    应用程序自动化工具

    • 詹金斯,可以是自动化服务器 用作简单的CI服务器或转动 进入项目的CD集线器,插件 支持与各种工具的集成 CI/CD toolchain.
    • Docker.,软件容器技术 使其用户能够创建的平台, 部署,运行和管理应用程序 容器。 Docker容器在内部运行 主机的内核和它们 不需要额外的管理程序负载,因此 他们轻巧。
    • Kubernetes.是一个开源系统 自动化部署,缩放和管理 集装箱应用。
    • 厨师,一个配置管理工具 提供快速,可扩展和灵活的自动化 网络范围尺寸。厨师自动化工具使用 Web服务器配置,数据库的“食谱” and load balancers.
    • 木偶,灵活,跨平台和开放 源DevOps配置管理工具 这使得自动化和操作 整个生命周期内的软件。
    • Ansible,服务器和配置管理 工具使其自动化简单 因为它结束了重复的任务并更快启用 应用部署。它自动配置 管理,编排,申请 部署,云配置和数字 其他IT要求。
    • 用于添加安全性的其他工具/框架 Devops管道包括摇晃OWASP ZED攻击代理(ZAP)。这些工具 可以在部署期间使用,允许 自动安全测试。摇晃提供钩子 到了各种使用的组织工具 用于安全测试,如nmap,curl,sqlmap, 和别的。还有工具分裂 这应该在这里提到,主要是为了 持续监测生产环境 检测网络安全威胁。

    数据库相关工具







    暂无评论